-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Pascal Hambourg wrote: > franck a écrit : >> >> Quant aux types ICMP consideres comme RELATED, la je trouve que cela se >> complique. Il y a ce qui est appele les blind icmp attacks. Le type >> source quench est utilise pour ralentir les connexions, > > C'est bien pour cette raison que je recommande de le bloquer. > >> de meme, les >> protocol unreachable, port unreachable, et fragmentation needed peuvent >> couper une connexion. > > L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes. > >> Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire >> tous les types ICMP. > > Je crains qu'on ne puisse faire autrement que s'en remettre à la > vérification du numéro de séquence TCP par le suivi de connexion de > Netfilter pour classer un message d'erreur ICMP comme RELATED ou > INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une > connexion TCP. > >> Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous >> les deux juges ; je ne m'y connais pas assez. > > Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère, > ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas. > >
Finalement, je vais enlever le filtrage sur les TCP flags a moins que j'arrive un jour a etre certains du fonctionnement. Du cote des paquets RELATED pour la chaine INPUT, je vais interdire le type ICMP source-quench, et autoriser les autres pour le bon fonctionnement, en faisant confiance a netfilter pour la redirection des paquets en INVALID. Merci beaucoup pour les avis de chacun. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFvM70xJBTTnXAif4RAnpbAKDEbrdhlQz7IHI8iXsP75dMH4YA2wCgnSDY 9EZ1A7G8Ic8b0DLR0qbwjiY= =mjH0 -----END PGP SIGNATURE----- ___________________________________________________________ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]